計(jì)算機(jī)網(wǎng)絡(luò)安全淺議

[摘要]計(jì)算機(jī)網(wǎng)絡(luò)安全性是一個(gè)很復(fù)雜的課題，主要討論網(wǎng)絡(luò)安全的一些基本概念，分析計(jì)算機(jī)網(wǎng)絡(luò)安全威脅產(chǎn)生的原因及方式，并提出計(jì)算機(jī)網(wǎng)絡(luò)安全的防范措施，使廣大計(jì)算機(jī)用戶增強(qiáng)網(wǎng)絡(luò)安全防范意識(shí)。
網(wǎng)絡(luò)改變了我們的生活和娛樂方式。網(wǎng)絡(luò)在帶給我們便利的同時(shí)，也給我們帶來了煩惱：各種病毒的入侵，網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用軟件的安全漏洞，黑客們不擇手段的侵入，都給網(wǎng)絡(luò)用戶帶來巨大損失。這就需要人們采取有力的方法與措施，維護(hù)網(wǎng)絡(luò)安全。
一、計(jì)算機(jī)網(wǎng)絡(luò)安全概述
計(jì)算機(jī)網(wǎng)絡(luò)安全主要指信息安全和硬件實(shí)體安全。數(shù)據(jù)信息是網(wǎng)絡(luò)中最寶貴的資源，網(wǎng)上失密、泄密、竊密及傳播有害信息的事件屢有發(fā)生。所謂計(jì)算機(jī)網(wǎng)絡(luò)信息安全是指利用網(wǎng)絡(luò)管理控制技術(shù)防止網(wǎng)絡(luò)本身及網(wǎng)上傳輸?shù)男畔⒈还室獾幕蚺既坏姆鞘跈?quán)泄漏、更改、破壞，或使信息被非法系統(tǒng)辨認(rèn)、控制。網(wǎng)絡(luò)硬件實(shí)體安全是指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。
計(jì)算機(jī)網(wǎng)絡(luò)作為重要的基礎(chǔ)資源向客戶提供信息，而建立安全的網(wǎng)絡(luò)系統(tǒng)所要解決的根本問題是：在保證網(wǎng)絡(luò)連通的同時(shí)，對(duì)網(wǎng)絡(luò)服務(wù)、客戶應(yīng)用進(jìn)行管理，以保證網(wǎng)絡(luò)信息資源的正確性不受影響。網(wǎng)絡(luò)信息安全有如下特點(diǎn)：（1）完整性：信息在存儲(chǔ)和傳輸過程中保持不被修改。（2）可用性：授權(quán)實(shí)體有權(quán)訪問數(shù)據(jù)。（3）保密性：信息僅允許授權(quán)個(gè)人和實(shí)體使用。（4）可控性：授權(quán)機(jī)構(gòu)可以隨時(shí)控制信息的機(jī)密性。（5）抗抵賴性：即使數(shù)據(jù)的發(fā)送方否認(rèn)發(fā)送過某些數(shù)據(jù)，數(shù)據(jù)接受方也能證明這些數(shù)據(jù)是該發(fā)送方發(fā)送的。
二、計(jì)算機(jī)網(wǎng)絡(luò)安全威脅產(chǎn)生的原因及方式
（一）計(jì)算機(jī)網(wǎng)絡(luò)安全威脅產(chǎn)生原因
有威脅才會(huì)有安全問題，計(jì)算機(jī)網(wǎng)絡(luò)安全是針對(duì)威脅制定的對(duì)策。網(wǎng)絡(luò)威脅產(chǎn)生的根本原因是不法分子的私欲，當(dāng)然還有其它直接或間接的原因，主要有以下幾種：
（1）來源威脅：現(xiàn)在大部分CPU、操作系統(tǒng)、外設(shè)、網(wǎng)絡(luò)系統(tǒng)及加密解密工具來源于國(guó)外，這就相當(dāng)于自己的秘密掌握在別人手里，不可能不受制于人。
（2）傳輸渠道威脅：網(wǎng)絡(luò)信息的傳輸要經(jīng)過有線或無線的通道來進(jìn)行。信息在傳輸?shù)倪^程中可能被竊聽、篡改、偽造。網(wǎng)絡(luò)信息在傳輸時(shí)要經(jīng)過有形和無形的介質(zhì)，由于外界環(huán)境因素的影響會(huì)使信號(hào)減弱、失真、丟失，導(dǎo)致傳輸?shù)男盘?hào)被嚴(yán)重破壞。
（3）設(shè)備故障威脅：設(shè)備故障會(huì)導(dǎo)致通信中斷。在整個(gè)網(wǎng)絡(luò)系統(tǒng)中，硬件設(shè)備非常多，因而故障率也非常高。
（4）網(wǎng)絡(luò)人員威脅：這主要體現(xiàn)在兩個(gè)方面。一方面，軟件開發(fā)者在開發(fā)的軟件中有殘留錯(cuò)誤，往往這些埋藏很深的錯(cuò)誤會(huì)導(dǎo)致不可挽回的損失；另一方面，網(wǎng)絡(luò)管理員的文化素質(zhì)和人品素質(zhì)影響著網(wǎng)絡(luò)安全。網(wǎng)絡(luò)管理員是最直接接觸網(wǎng)絡(luò)機(jī)密的人，他們有機(jī)會(huì)竊取用戶的密碼以及其它的秘密資料，并破壞網(wǎng)絡(luò)的完整性，是對(duì)網(wǎng)絡(luò)安全最直接的威脅。
（5）所處環(huán)境威脅：網(wǎng)絡(luò)安全立法滯后的特點(diǎn)為黑客們的違法犯罪行為提供了可乘之機(jī)，而且由于存在各自的國(guó)家利益，在聯(lián)合打擊國(guó)際黑客犯罪方面的合作力度不夠。網(wǎng)絡(luò)安全技術(shù)在發(fā)展過程中還有很多不成熟的地方，這些地方經(jīng)常被不法分子所利用。
（6）病毒威脅：計(jì)算機(jī)病毒成為嚴(yán)重危害。近年來通過網(wǎng)絡(luò)傳播的計(jì)算機(jī)病毒越來越多，產(chǎn)生的危害也越來越大。防毒軟件具有一定的滯后性，不能產(chǎn)生防患于未然的效果。
（二）計(jì)算機(jī)網(wǎng)絡(luò)安全威脅產(chǎn)生的方式
網(wǎng)絡(luò)安全威脅產(chǎn)生的方式主要有：身份竊取、假冒、數(shù)據(jù)竊取、否認(rèn)、錯(cuò)誤路由、拒絕服務(wù)、業(yè)務(wù)量分析、非授權(quán)存取等。具體形式有如下6個(gè)方面：（1）利用系統(tǒng)缺陷或后門進(jìn)行攻擊。（2）防火墻的安全隱患。（3）內(nèi)部用戶的竊密、泄密和破壞。（4）網(wǎng)絡(luò)監(jiān)督和系統(tǒng)安全性評(píng)估手段缺乏。（5）口令攻擊和拒絕服務(wù)。（6）來自應(yīng)用服務(wù)方面的安全探測(cè)和網(wǎng)絡(luò)協(xié)議分析。
三、計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施
針對(duì)上述網(wǎng)絡(luò)安全威脅，我們應(yīng)采取有效的防范措施，確保網(wǎng)絡(luò)系統(tǒng)安全可靠。計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施主要是從技術(shù)和管理兩個(gè)方面來制定，具體措施如下：
（一）技術(shù)方面的措施
1．網(wǎng)絡(luò)物理安全
為保證網(wǎng)絡(luò)的正常運(yùn)行，在物理安全方面應(yīng)采取如下措施：①產(chǎn)品保障方面：主要指產(chǎn)品采購(gòu)、運(yùn)輸、安裝等方面的安全措施；②運(yùn)行安全方面：網(wǎng)絡(luò)中的設(shè)備，特別是安全類產(chǎn)品在使用過程中，必須能夠從生成廠家或供貨單位得到迅速的技術(shù)支持服務(wù)。對(duì)一些關(guān)鍵設(shè)備和系統(tǒng)，應(yīng)設(shè)置備份系統(tǒng)；③防電磁輻射方面：所有重要涉密的設(shè)備都需安裝防電磁輻射產(chǎn)品，如輻射干擾機(jī)；④保安方面：主要是防盜、防火等，還包括網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)、安全設(shè)備的安全防護(hù)。
2．訪問控制安全
訪問控制識(shí)別并驗(yàn)證用戶，將用戶限制在已授權(quán)的活動(dòng)和資源范圍之內(nèi)。網(wǎng)絡(luò)的訪問控制安全可以從以下幾個(gè)方面考慮。
①口令：網(wǎng)絡(luò)安全系統(tǒng)的最外層防線就是網(wǎng)絡(luò)用戶的登錄，在注冊(cè)過程中，系統(tǒng)會(huì)檢查用戶的登錄名和口令的合法性，只有合法的用戶才可以進(jìn)入系統(tǒng)。
②網(wǎng)絡(luò)資源屬主、屬性和訪問權(quán)限：網(wǎng)絡(luò)資源主要包括共享文件、共享打印機(jī)、網(wǎng)絡(luò)通信設(shè)備等網(wǎng)絡(luò)用戶都可以使用的資源。資源屬主體現(xiàn)了不同用戶對(duì)資源的從屬關(guān)系，如建立者、修改者和同組成員等。資源屬性表示了資源本身的存取特性，如可被誰讀、寫或執(zhí)行等。訪問權(quán)限主要體現(xiàn)在用戶對(duì)網(wǎng)絡(luò)資源的可用程度上。利用指定網(wǎng)絡(luò)資源的屬主、屬性和訪問權(quán)限可以有效地在應(yīng)用級(jí)控制網(wǎng)絡(luò)系統(tǒng)的安全性。
③網(wǎng)絡(luò)安全監(jiān)視：網(wǎng)絡(luò)監(jiān)視通稱為“網(wǎng)管”，它的作用主要是對(duì)整個(gè)網(wǎng)絡(luò)的運(yùn)行進(jìn)行動(dòng)態(tài)地監(jiān)視并及時(shí)處理各種事件。通過網(wǎng)絡(luò)監(jiān)視可以簡(jiǎn)單明了地找出并解決網(wǎng)絡(luò)上的安全問題，如定位網(wǎng)絡(luò)故障點(diǎn)、捉住IP盜用者、控制網(wǎng)絡(luò)訪問范圍等。
④審計(jì)和跟蹤：網(wǎng)絡(luò)的審計(jì)和跟蹤包括對(duì)網(wǎng)絡(luò)資源的使用、網(wǎng)絡(luò)故障、系統(tǒng)記帳等方面的記錄和分析。一般由兩部分組成：一是記錄事件，即將各類事件統(tǒng)統(tǒng)記錄到文件中；二是對(duì)記錄進(jìn)行分析和統(tǒng)計(jì)，從而找出問題所在。
3．?dāng)?shù)據(jù)傳輸安全
（1）加密技術(shù)與數(shù)字簽名。加密技術(shù)是提供信息的加密解密，提供對(duì)信息來源的鑒別，保證信息的完整性和不可否認(rèn)性的一種技術(shù)。加密是通過一種復(fù)雜的方式將信息變成不規(guī)則的加密信息，其主要目的是防止信息的非授權(quán)泄密。數(shù)據(jù)加密技術(shù)可以分為對(duì)稱型加密、不對(duì)稱型加密和不可逆加密。以數(shù)據(jù)加密和用戶確認(rèn)為基礎(chǔ)的開放型安全保障技術(shù)是普遍適用的、對(duì)網(wǎng)絡(luò)服務(wù)影響較小的一種途徑，并可望成為網(wǎng)絡(luò)安全問題最終的一體化解決途徑。這是針對(duì)來源威脅與傳輸渠道威脅所采用的防范措施，雖然不一定能夠百分之百地防止威脅，但在很大程度上減少了網(wǎng)絡(luò)安全威脅。
數(shù)字簽名是數(shù)據(jù)的接收者用來證實(shí)數(shù)據(jù)的發(fā)送者確實(shí)無誤的一種方法，它是用發(fā)送簽字的辦法來對(duì)信息的接收進(jìn)行確認(rèn)，以證明和承認(rèn)信息是由簽字者發(fā)出或接收的。這個(gè)服務(wù)的作用在于避免通信雙方對(duì)信息的來源發(fā)生爭(zhēng)議。它主要通過加密算法和證實(shí)協(xié)議而實(shí)現(xiàn)。
（2）防火墻技術(shù)。它是一種由計(jì)算機(jī)硬件和軟件組成的一個(gè)或一組系統(tǒng)，用于增強(qiáng)內(nèi)部網(wǎng)絡(luò)和Internet之間的訪問控制。防火墻在被保護(hù)內(nèi)部網(wǎng)和外部網(wǎng)絡(luò)之間形成一道屏障，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)，從而防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。它可通過檢測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。防火墻的主要組成部分應(yīng)包括一個(gè)不允許訪問的IP地址表、一個(gè)不允許通過的用戶地址表、IP地址匹配算法、過濾某類具體應(yīng)用或信息包的過濾算法。到目前為止，已出現(xiàn)了四種類型的防火墻：網(wǎng)絡(luò)級(jí)防火墻（也叫包過濾型防火墻）、應(yīng)用級(jí)網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)和規(guī)則檢查防火墻。
（3）入侵檢測(cè)。入侵檢測(cè)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。
（4）VPN技術(shù)。主要提供在公網(wǎng)上的安全的雙向通訊，采用透明的加密方案以保證數(shù)據(jù)的完整性和保密性。VPN技術(shù)的工作原理：VPN系統(tǒng)可使分布在不同地方的專用網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上實(shí)現(xiàn)安全通信，它采用復(fù)雜的算法來加密傳輸?shù)男畔?，使得敏感的?shù)據(jù)不會(huì)被竊聽。
（5）物理隔離網(wǎng)閘。物理隔離網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。由于物理隔離網(wǎng)閘所連接的兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議“擺渡”，且對(duì)固態(tài)存儲(chǔ)介質(zhì)只有“讀”和“寫”兩個(gè)命令，所以物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無法入侵、無法攻擊、無法破壞，實(shí)現(xiàn)了真正的安全。
（6）通信伙伴認(rèn)證。它的作用是通信伙伴之間相互確認(rèn)身份，防止他人插入通信過程。認(rèn)證一般在通信之前進(jìn)行。但在必要的時(shí)候也可以在通信過程中隨時(shí)進(jìn)行。認(rèn)證有兩種形式：一種是檢查一方標(biāo)識(shí)的單方認(rèn)證，另一種是通信雙方相互檢查對(duì)方標(biāo)識(shí)的相互認(rèn)證。通信伙伴認(rèn)證服務(wù)可以通過加密機(jī)制、數(shù)字簽名機(jī)制以及認(rèn)證機(jī)制實(shí)現(xiàn)。
要想實(shí)現(xiàn)網(wǎng)絡(luò)安全功能，應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全方位防范，除了以上的技術(shù)措施，還應(yīng)從多方面進(jìn)行防范，包括：采用漏洞掃描技術(shù)，對(duì)重要網(wǎng)絡(luò)設(shè)備進(jìn)行風(fēng)險(xiǎn)評(píng)估，保證信息系統(tǒng)盡量在最優(yōu)的狀況下運(yùn)行；采用多層次多級(jí)別的企業(yè)級(jí)防病毒系統(tǒng)，對(duì)病毒實(shí)現(xiàn)全面的防護(hù)；制定和完善安全管理制度，提高對(duì)網(wǎng)絡(luò)攻擊的實(shí)時(shí)響應(yīng)與恢復(fù)能力；設(shè)立安全監(jiān)控中心，為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護(hù)及緊急情況服務(wù)等。
（二）管理方面的防范措施
在強(qiáng)調(diào)技術(shù)解決網(wǎng)絡(luò)安全問題的同時(shí)，還必須加強(qiáng)對(duì)使用網(wǎng)絡(luò)的人員的管理，注意管理方式和實(shí)現(xiàn)方法。因?yàn)橹T多的不安全因素恰恰反映在組織管理或人員工作時(shí)錄入、使用等方面，而這又是計(jì)算機(jī)網(wǎng)絡(luò)安全必須考慮的基本問題。所以，要采取切實(shí)可行的方法加強(qiáng)管理，立章建制，提高內(nèi)部管理人員整體素質(zhì)，增強(qiáng)內(nèi)部人員的安全防范意識(shí)。在宏觀方面，要加強(qiáng)法制建設(shè)，進(jìn)一步完善關(guān)于網(wǎng)絡(luò)安全的法律，以便更有利地打擊不法分子。
四、結(jié)束語
計(jì)算機(jī)網(wǎng)絡(luò)安全是對(duì)付威脅、保護(hù)網(wǎng)絡(luò)資源的所有措施的總和，涉及政策、法律、管理、教育和技術(shù)等方面的內(nèi)容。計(jì)算機(jī)網(wǎng)絡(luò)安全是一項(xiàng)系統(tǒng)工程，針對(duì)來自不同方面的安全威脅，需要采取不同的安全對(duì)策。